Oracle potwierdza naruszenie chmury po początkowym zaprzeczeniu — twierdzenia hakerów, wyciek danych i ciche alerty budzą wątpliwości
W obrocie wydarzeń, który podnosi poważne pytania o przejrzystość i bezpieczeństwo chmury, Oracle podobno doznało poważnego naruszenia danych dotyczącego swojej infrastruktury chmurowej — pomimo wcześniejszych twierdzeń zaprzeczających takiemu incydentowi. Gigant technologiczny zaczął od tego czasu po cichu ostrzegać poszkodowanych klientów, ale nadal bagatelizuje skalę i powagę ataku.
Wyciek danych wyszedł na jaw po raz pierwszy, gdy haker używający aliasu rose87168 zaczął wyciekać to, co, jak twierdził, było poufnymi danymi z Oracle Cloud, co dotyczyło ponad 140 000 najemców. Dane te rzekomo obejmują zaszyfrowane dane uwierzytelniające, nazwy użytkowników i inne ważne informacje o klientach. Atakujący początkowo zażądał od Oracle okupu w wysokości 20 milionów dolarów, ale po nieotrzymaniu zapłaty zaczął oferować skradzione dane na sprzedaż lub wymianę w zamian za exploity typu zero-day.
Pomimo tych zarzutów, początkowa odpowiedź Oracle była kategoryczna: „Nie doszło do naruszenia Oracle Cloud. Opublikowane dane uwierzytelniające nie dotyczą Oracle Cloud. Żaden klient Oracle Cloud nie doświadczył naruszenia ani nie stracił danych”. To oświadczenie jest jednak obecnie kwestionowane przez narastające dowody i niezależne potwierdzenia zarówno ekspertów ds. bezpieczeństwa, jak i klientów.
Spis treści
Dowody hakerskie przeczą zaprzeczeniom Oracle
Według SecurityWeek haker dostarczył wiele dowodów, w tym próbkę 10 000 rekordów klientów, wideo, które wydaje się pokazywać wewnętrzne spotkanie Oracle, oraz plik demonstrujący dostęp do systemów chmurowych Oracle. Niektóre wyciekłe dane uwierzytelniające pochodzą podobno z 2024 r., co przeczy twierdzeniom Oracle — jak donosi Bloomberg — że dotknięte środowisko nie było używane od ponad ośmiu lat.
Badacz ds. bezpieczeństwa Kevin Beaumont podejrzewa, że Oracle używa niejasnej terminologii, takiej jak „Gen 1”, aby ukryć prawdę. Zwrócił uwagę, że Oracle Classic, który prawdopodobnie mieści się w tej kategorii, nadal jest częścią infrastruktury chmurowej firmy. Ten semantyczny spin, jak twierdzi, pozwala Oracle technicznie zaprzeczyć naruszeniu „Oracle Cloud”, nawet jeśli dane pochodziły ze starszych systemów chmurowych.
Beaumont ujawnił również, że Oracle nie wysłało klientom pisemnych powiadomień; zamiast tego alerty podobno były przekazywane wyłącznie ustnie, co jeszcze bardziej wzbudza obawy o transparentność firmy.
Złośliwe oprogramowanie, eksploit Javy i długotrwały dostęp
CyberAngel powołał się na anonimowe źródło, które twierdzi, że naruszenie wynika z luki w zabezpieczeniach Java z 2020 r., która umożliwiła atakującym zainstalowanie złośliwego oprogramowania i powłoki internetowej w systemach Oracle. Złośliwe oprogramowanie rzekomo atakowało bazę danych Oracle Identity Management, a dostęp mógł rozpocząć się już w styczniu 2025 r. Oracle rzekomo dowiedziało się o problemie pod koniec lutego, mniej więcej w czasie, gdy złożono żądanie okupu.
Według tego źródła, tylko infrastruktura chmurowa „Gen 1” została naruszona — konkretnie serwery w starszym środowisku Oracle Classic — podczas gdy nowocześniejsze serwery „Gen 2” pozostały nietknięte. Mimo to, zagrożone dane, choć podobno mają co najmniej 16 miesięcy, wydają się być powiązane z prawdziwymi środowiskami produkcyjnymi i prawdziwymi kontami klientów.
Naruszenie bezpieczeństwa Oracle Health pogłębia negatywne skutki
Ponieważ Oracle nadal wydaje tylko ograniczone oświadczenia publiczne, pojawiły się również doniesienia o odrębnym naruszeniu dotyczącym systemów Oracle Health. Jednoczesne ujawnienie danych klientów i pacjentów z różnych systemów Oracle wzbudziło poważne obawy zarówno wśród specjalistów ds. cyberbezpieczeństwa, jak i organów regulacyjnych.
Sposób, w jaki Oracle radzi sobie z naruszeniem bezpieczeństwa chmury — od początkowych zaprzeczeń po ograniczony kontakt z klientami — wywołał krytykę w całej branży bezpieczeństwa. Podczas gdy śledczy z FBI i CrowdStrike badają sprawę, wielu domaga się od Oracle większej przejrzystości, aby pomóc dotkniętym organizacjom ocenić ryzyko i podjąć niezbędne kroki w celu ochrony siebie.